Pki

太湖ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：028-86922220（備注：SSL證書合作）期待與您的合作！

公共密鑰基礎結構，加密方法標準

應用：例：https://

加密技術：

對稱加密：

加密密鑰與解密密鑰是同一個密鑰（key），不適合在網(wǎng)絡中使用，因為密鑰必須由加密方發(fā)給解密方，有可能被截獲。

密鑰維護量大，因為任意兩個通訊對象都需要一個密鑰。N*(n-1)/2

優(yōu)勢是加密效率高。

非對稱加密：

公鑰、私鑰成對使用，一方加密，另一方解密。公鑰推導不出私鑰，但在數(shù)學上是有關聯(lián)的，它們由一個隨機數(shù)利用不同的函數(shù)公式計算生成。

每個用戶僅需要一個密鑰對，適合互聯(lián)網(wǎng)使用

缺點是加密效率低。

安全性由密鑰長度決定的

56位密鑰破解需3.5或21分鐘

128位密鑰破解需5.4*10 18次方式年

安全標準：

1.      成本標準：成本高于收益

2.      時間有效期：數(shù)據(jù)失效后被破解

非對稱加密細節(jié)：

發(fā)送方：

用對稱密鑰加密文件數(shù)據(jù)（效率高），用公鑰加密對稱密鑰。一并發(fā)送給接收方。

接收方：

用私鑰解密對稱密鑰，用對稱密鑰解密文件數(shù)據(jù)。

優(yōu)勢：效率高，安全性好

數(shù)字簽名：

作用：防止簽名者抵賴，接收方確信信息來源，信息內(nèi)容不能更改

細節(jié)：私鑰簽名，公鑰確認

     對要傳輸?shù)奈募M行哈希計算，得到一固定散列值（也稱“摘要”），或稱作該文件的“指紋”，發(fā)送方用自己的私鑰對“摘要”加密（簽名），把加密后的摘要、公鑰、文件數(shù)據(jù)三者一并發(fā)給接收方（不保證信息加密，但能保確認信息是由誰發(fā)出的）。

    接受方收到后，用哈希算法得到所接收文件的“摘要”，用收到的公鑰解密收到的已經(jīng)加密的摘要，兩者對照，如果一致說明接收的文件確是發(fā)送方發(fā)送的且內(nèi)容沒有被篡改。

如果有對方的公鑰，才可以向?qū)Ψ桨l(fā)送加密文件（用對方的公鑰加密）。沒有則不可以。

只有有私鑰時，才可以進行數(shù)字簽名。數(shù)字簽名目的不是使文件內(nèi)容保密，只是為了驗證發(fā)送方是誰、發(fā)送內(nèi)容不能更改、不能否認

既簽名又加密：

把加密后的摘要、自己的公鑰、文件數(shù)據(jù)三者用對方（接收方）的公鑰加密

摘要用自己的私鑰加密，起到數(shù)字簽名的作用。三者用對方的公鑰加密，達到了加密的目的。

證書頒發(fā)機構CA：身份公立，不參與商業(yè)組織，不以盈利為目的，它有自已的公鑰和私鑰

在計算機中非對稱密鑰是以數(shù)字證書的形式存在的。

單位可以用自己的資料向該CA機構發(fā)出申請，CA機構對單位資料進行真實性核實。確認無誤后，CA機構向申請單位發(fā)送由CA機構簽名的數(shù)字證書（公鑰私鑰）。此時申請單位的公鑰和私鑰中總是保存有CA機構的數(shù)字簽名。當它用自己的私鑰加密文件或摘要時，總攜帶有CA機構的數(shù)字簽名。接受方通過持有的CA機構的公鑰就可以驗證發(fā)送方的公鑰是否真實合法。

所以用CA的公鑰驗證發(fā)送方的公鑰中CA的私鑰簽名（以此來確定發(fā)送方的公鑰是否真實）是信任發(fā)送方的大前提。

數(shù)字證書

內(nèi)容

CRL分發(fā)點：是吊銷證書列表，客戶端可以訪問該機構的吊銷證書列表，以確定發(fā)送方的證書是否已經(jīng)被聲明吊銷（作廢），如果已經(jīng)吊銷，則不再信任發(fā)送端！

主題：是使用者的信息

通俗地講：頒證機構頒發(fā)給用戶的是密鑰對及附加在其上的CA機構簽名，并且CA機構在互聯(lián)網(wǎng)上是可查的。

CA種類：

企業(yè)CA:在域環(huán)境中為域中的用戶和計算機頒發(fā)證書。不需要管理員頒發(fā)。頒發(fā)者在線！

獨立CA:為互聯(lián)網(wǎng)上的用戶和企業(yè)頒證，開放式。根頒發(fā)機構可以離線。提供證書吊銷列表的CA必須在線.

根CA:一般給子CA發(fā)證

子CA:給用戶發(fā)證。

企業(yè)中如何使用PKI技術實現(xiàn)安全：

企業(yè)CA可以做為獨立CA的子CA,(企業(yè)向獨立CA申請發(fā)證)，企業(yè)CA再向企業(yè)內(nèi)部部門頒發(fā)證書，只要部門信任獨立CA就可以了，部門也可以此CA向企業(yè)外的部門發(fā)送數(shù)據(jù)，企業(yè)外部門信任獨立CA即可。

強制刷新組策略：

運行 gpupdate /force

只能用申請數(shù)字證書時綁定的郵箱發(fā)送簽名和加密的郵件。否則無法簽名或加密。

數(shù)字證書導出時，必須導出私鑰，防止機器重新安裝系統(tǒng)或損壞導致證書丟失！

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

文章名稱：數(shù)字證書學習筆記-創(chuàng)新互聯(lián)
鏈接URL：http://www.yuzhuanjia.cn/article/dohops.html